Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Фишинговые сайты

kh_PUCCA

Автор kh_PUCCA
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true, '', 0, 0);
 QuarantineFileF('c:\users\romenskybv\appdata\local\syslog\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\DateOption\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '32');
 QuarantineFile('C:\Users\romenskybv\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{4F3855AE-CD60-4DFE-B9EE-F45C3FE18280}" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true);
 DeleteFileMask('c:\users\romenskybv\appdata\local\syslog\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\DateOption\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*', true);
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\ValidateLife\');
 DeleteDirectory('c:\users\romenskybv\appdata\local\syslog\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\rightchose\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\DateOption\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\FileSystemOptions\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aobeaveffr', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DateOption', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FileSystemOptions', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FilterOptions', 'command');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

Скачайте актуальную версию Автологера и соберите логи ей.


 

 


опять фишинговые сайты, замучили.
и это неудительно, рекомендации которые вам дали в конце лечения вы так и не выполнили. Продолжите так и будете часто у нас лечиться ;)
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
kh_PUCCA Новичок

kh_PUCCA

Опубликовано
  • Автор
Опубликовано

[KLAN-6092818143]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
regCheck.vbs
regCheck_0.vbs
regCheck_1.vbs
regCheck_2.vbs
regCheck_3.vbs
regCheck_4.vbs
regCheck_5.vbs
regCheck_6.vbs
Интернет.url
Вoйти в Интeрнeт.lnk
Вoйти в Интeрнeт_0.lnk
regCheck.lnk
bcqr00017.dat
bcqr00018.dat
bcqr00019.dat
bcqr00020.dat
bcqr00021.dat
bcqr00022.dat

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
syslog.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ig0r
      Индексация сайта в поисковиках
      Автор Ig0r
      Уже 112 страниц проиндексировал. Я его привел.
    • ARMADA
      Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.
      Автор ARMADA
      Доброго времени суток!
      Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
      Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
      Письмо отправлено с адреса *****@*****.tld
      Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.
       
      Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.
       
      Файл отправил для анализа через https://opentip.kaspersky.com/
      9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF
       
      Очевидно что рассылка идёт прямо сейчас, и будет много жертв.
       
      Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".
      Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 
      По сему KVRT и логи предоставить не могу.
    • Ivan A.
      Вход на сайты через авторизацию ЕСИА
      Автор Ivan A.
      Всем привет. Вопрос по входу на сторонние сайты через госуслуги (ЕСИА).
      Если в браузере сначала зайти на госуслуги, а в соседней вкладке зайти на сайт в котором предусмотрена авторизация через ЕСИА (например ФНС) - то нажав на соответствующий пункт 
      меню мы автоматически авторизуемся на сайте без ввода Логина и пароля.
      Вопрос в следующем: может ли фишинговы ресурс с поддельной авторизацией через ЕСИА получить верификацию.
      т.е.:
      Зашел на Госуслуги > Зашел на сайт ФНС нажал авторизацию ЕСИА > вход выполнен - вывод Подлинный сайт ФНС Зашел на Госуслуги > Зашел на сайт МФО нажал авторизацию ЕСИА > сайт просит ввести Логин и пароль - вывод фишинговый сайт МФО  
       
    • qwester
      Сайт блокируется ФинСерт
      Автор qwester
      Прошу прощения если не туда.
      У меня есть интеренет-магазин, который принимает оплату по банковским картам, но клиенты не могут оплатить, в службе поддержки эквайринга из банка написали следущее:
      IP-адрес XXX был заблокирован по рекомендации от ФинЦерт.
      Для исключения ip-адреса из списка ФинЦерт коллеги порекомендовали обратиться в Лабораторию Касперского, так как информация в ФинЦерт поступила от них.
       
      Что с этим делать? Сайт находится на общем хостинге, не VDS
    • Андрей2029
      Касперский+Опера - не могу зайти ни на один сайт с Cloudflare
      Автор Андрей2029
      Здравствуйте, товарищи. Проблема следующая. Поставил впервые за много десятков лет Оперу вместо Хрома. Последнюю версию, разумеется. Особо не ковырялся в настройках, стал пользоваться. И заметил, что не могу попасть ни на один сайт с Cloudflare - проверка на человека просто постоянно обновляется, не пуская на страницу. Например, вот Aescripts:

       
      Разумеется, я испробовал все возможные решения, что были в сети, будучи уверенным, что проблема либо в самой Опере (её настройках, которые я не менял), либо в VPN (которого у меня нет и в Опере он не включен), DNS и прочем. Все проверил, посмотрел, попереключал и ничего не помогает. При этом Edge на те же сайты пускает без вопросов. Пошёл было писать багрепорт в техподдержку Оперы, пока не додумался отключить Kaspersky Plus. И, о чудо, Cloudflare сразу же запустил на проблемный сайт. Включил Касперского, тыкнулся на другой сайт - опять тя же проблема. 
       
      Подскажите, куда смотреть, что копать, и почему проблема именно с Оперой? Хром псотавил назад - опять проблемы нет. Чем Опера так провинилась? Какие настройки посмотреть в Каспере, чтобы решить проблему?
×
×
  • Создать...